/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fa42e7f888903367063fe643af66dfc66.jpg)
Google обнаружила новый вирус РФ, который взламывает политиков и активистов: как им заражаются
Специалисты по кибербезопасности компании Google обнаружили новый вирус LOSTKEYS, который происходит из Российской Федерации. Зафиксировано минимум три случая применения вредоносного кода, который похищает контакты и файлы политиков и общественных активистов. Россияне используют поддельную "капчу" и имитируют программу OSINT-аналитиков.
Предупреждение Google о хакерах РФ появилось в блоге Группы разведки угроз компании.
Киберспециалисты написали, что речь идет о вредоносном коде, созданном российской хакерской группировкой COLDRIVER, которая также скрывается за именами UNC4057, Star Blizzard и Callisto. Когда вирус заражает систему, то в самом легком случае он получает доступ к личным данным пользователя — к его контактам. Кроме того, были случаи, когда коды россиян получали доступ к файловой системе, объясняется в блоге. Случаи заражения обнаружили трижды в 2025 году: в январе, марте и апреле. Жертвами становились политики и чиновники стран-членов НАТО и Украины, сотрудники общественных организаций, бывшие работники разведки и дипломаты.
"Мы считаем, что основной целью операций COLDRIVER является сбор разведывательных данных в поддержку стратегических интересов России. В небольшом количестве случаев группу связывали с кампаниями по утечке информации, направленными против должностных лиц Великобритании и неправительственной организации", — говорится в блоге киберспециалистов.
Google предупредила, что цель COLDRIVER — получить доступ к контактам цели и к файлам на жестком диске.
Хакеры РФ — детали
В блоге Google подробно объясняется, как происходит заражение. Отмечается, что хакеры РФ при этом используют поддельные CAPTCHA, а куски вредоносного кода могут "делать вид", что они являются частями OSINT-программы для сбора данных Maltego.
Как происходит заражение вирусом LOSTKEYS:
- человека перенаправляют на фальшивый сайт, на котором якобы размещено что-то полезное — файл, сервис, форма входа;
- на сайте нужно пройти процедуру подтверждения безопасности — и для этого следует нажать на CAPTCHA;
- в память системы загружается вредоносный код (то есть как будто имитируется команда Ctrl+C);
- рядом с "капчей" пользователь видит инструкцию, что нужно делать дальше — следует вызвать командную строку через Win+R, далее — комбинация Ctrl+V и нажать Enter;
- после этого запускается инструмент администрирования PowerShell, который выполняет вредоносный код, предостерегли специалисты Google.
Компания также объяснила, как защититься от вируса. Речь идет о людях, которые могут стать целями для российских хакеров. Для них предлагают три варианта защиты. Во-первых, зарегистрироваться в "Программе расширенной защиты". Во-вторых, включить улучшенный безопасный просмотр Google. В-третьих, обновить программы на устройствах.
Отметим, в сентябре 2024 года на портале Министерства юстиции США рассказали о российских хакерах, за "головы" которых обещают 10 млн долл. Министерство заявило, что речь идет о трех офицерах ГУР, которые устроили кибератаку на компьютеры правительства Украины за несколько дней до вторжения в 2022 году.
Напоминаем, в декабре 2024 года российские хакеры взломали реестры Министерства юстиции Украины, из-за чего исчез доступ к некоторым государственным реестрам.